forum.opennet.ru - "подскажите по ACL" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"подскажите по ACL"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"подскажите по ACL"
Сообщение от nick (??) on 20-Окт-06, 12:14
столкнулся с проблемой с ACL. на внешний интерфейс ставлю in и out для out permit ip any any, как правильно написать, синтаксис непойму, чтобы я мог пользоваться FTP и к моему серваку могли по фтп подрубаться? вот что есть interface GigabitEthernet0/0 ip address IP_mask ip nat inside ! interface GigabitEthernet0/1 ip address IP_mask2 ip nat outside ip access-group www in ip nat inside source list NAT interface GigabitEthernet0/1 overload ip nat inside source static IP_сервака interface GigabitEthernet0/1 ip access-list extended www permit tcp any eq 20 any permit udp any eq 53 any permit icmp any any deny ip any any правильно синтаксис использую? при таком раскладе работает выход в инет, но доступа к серваку нет. что нужно правильно писать? пробовал и так permit tcp any any eq 20, может к нам и есть доступ но у меня зато нет выхода по FTP.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

подскажите по ACL, ilya, 14:51 , 20-Окт-06, (1)

подскажите по ACL, nick, 15:14 , 20-Окт-06, (3)

подскажите по ACL, ilya, 15:21 , 20-Окт-06, (5)

подскажите по ACL, angelweb, 15:05 , 20-Окт-06, (2)

подскажите по ACL, nick, 15:15 , 20-Окт-06, (4)

подскажите по ACL, nick, 15:39 , 20-Окт-06, (6)

подскажите по ACL, leveler, 05:47 , 23-Окт-06, (7)

Сообщения по теме [Сортировка по времени, UBB]

1. "подскажите по ACL"

Сообщение от ilya (ok) on 20-Окт-06, 14:51

>столкнулся с проблемой с ACL. на внешний интерфейс ставлю in и out
>
>для out permit ip any any, как правильно написать, синтаксис непойму, чтобы
>я мог пользоваться FTP и к моему серваку могли по фтп
>подрубаться?
>вот что есть
>interface GigabitEthernet0/0
> ip address IP_mask
> ip nat inside
> !
>interface GigabitEthernet0/1
> ip address IP_mask2
> ip nat outside
> ip access-group www in
>
>ip nat inside source list NAT interface GigabitEthernet0/1 overload
>ip nat inside source static IP_сервака interface GigabitEthernet0/1
>
>ip access-list extended www
> permit tcp any eq 20 any
> permit udp any eq 53 any
> permit icmp any any
> deny ip any any
>
>правильно синтаксис использую? при таком раскладе работает выход в инет, но доступа
>к серваку нет. что нужно правильно писать? пробовал и так permit
>tcp any any eq 20, может к нам и есть доступ
>но у меня зато нет выхода по FTP.
дык FTP еще 21й порт нужен...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "подскажите по ACL"

Сообщение от nick (??) on 20-Окт-06, 15:14

да я знаю что и 21 и 20 но по сути , я вот непойму может мои проблемы из-за
вот этих строк
ip nat inside source list NAT interface GigabitEthernet0/1 overload
ip nat inside source static IP_сервака interface GigabitEthernet0/1
может тут нужно иначе
ip nat inside source static IP_сервака interface ip_внешнего интерфейса

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "подскажите по ACL"

Сообщение от ilya (ok) on 20-Окт-06, 15:21

>да я знаю что и 21 и 20 но по сути ,
> я вот непойму может мои проблемы из-за
>вот этих строк
>ip nat inside source list NAT interface GigabitEthernet0/1 overload
>ip nat inside source static IP_сервака interface GigabitEthernet0/1
>может тут нужно иначе
>ip nat inside source static IP_сервака interface ip_внешнего интерфейса

ф поиск (или по форуму или по cisco.com)
там все есть
если на сервере адреса "серые" то нужна только одна запись - static

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "подскажите по ACL"

Сообщение от angelweb (??) on 20-Окт-06, 15:05

>столкнулся с проблемой с ACL. на внешний интерфейс ставлю in и out
>
>для out permit ip any any, как правильно написать, синтаксис непойму, чтобы
>я мог пользоваться FTP и к моему серваку могли по фтп
>подрубаться?
>вот что есть
>interface GigabitEthernet0/0
> ip address IP_mask
> ip nat inside
> !
>interface GigabitEthernet0/1
> ip address IP_mask2
> ip nat outside
> ip access-group www in
>
>ip nat inside source list NAT interface GigabitEthernet0/1 overload
>ip nat inside source static IP_сервака interface GigabitEthernet0/1
>
>ip access-list extended www
> permit tcp any eq 20 any
> permit udp any eq 53 any
> permit icmp any any
> deny ip any any
>
>правильно синтаксис использую? при таком раскладе работает выход в инет, но доступа
>к серваку нет. что нужно правильно писать? пробовал и так permit
>tcp any any eq 20, может к нам и есть доступ
>но у меня зато нет выхода по FTP.

В какой моде работает FTP сервер ? Passive ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "подскажите по ACL"

Сообщение от nick (??) on 20-Окт-06, 15:15

>В какой моде работает FTP сервер ? Passive ?
честно сказать незнаю! но приотсутсвии ACL все пашет как нужно!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "подскажите по ACL"

Сообщение от nick (??) on 20-Окт-06, 15:39

>>В какой моде работает FTP сервер ? Passive ?
>
>честно сказать незнаю! но приотсутсвии ACL все пашет как нужно!

мне нужно разрешить доступ к к серваку из инета только по портам вот в этом вся загвоздка!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "подскажите по ACL"

Сообщение от leveler (ok) on 23-Окт-06, 05:47

>столкнулся с проблемой с ACL. на внешний интерфейс ставлю in и out
>
>для out permit ip any any, как правильно написать, синтаксис непойму, чтобы
>я мог пользоваться FTP и к моему серваку могли по фтп
>подрубаться?
>вот что есть
>interface GigabitEthernet0/0
> ip address IP_mask
> ip nat inside
> !
>interface GigabitEthernet0/1
> ip address IP_mask2
> ip nat outside
> ip access-group www in
>
>ip nat inside source list NAT interface GigabitEthernet0/1 overload
>ip nat inside source static IP_сервака interface GigabitEthernet0/1
>
>ip access-list extended www
> permit tcp any eq 20 any
> permit udp any eq 53 any
> permit icmp any any
> deny ip any any
>
>правильно синтаксис использую? при таком раскладе работает выход в инет, но доступа
>к серваку нет. что нужно правильно писать? пробовал и так permit
>tcp any any eq 20, может к нам и есть доступ
>но у меня зато нет выхода по FTP.
Попробуйте покопать в сторону "ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable" вот по этой ссылке: http://cisco.com/en/US/tech/tk175/tk15/technologies_configuration_example09186a0080093e51.shtml
То есть, просто так за натом тачку мы не увидим. Для того, чтобы её увидить, надо сделать статичискую трансляцию. Собственно, из-за этого за натом в Варкрафт, например, хостить не получается - рутер не знает, кому предназначен входящий TCP пакет, который падает на global inside адрес. А вообще, нат хорошо описан в книжках по CCNA.
Если я не прав, скажите где.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "подскажите по ACL"
Сообщение от ilya (ok) on 20-Окт-06, 14:51
>столкнулся с проблемой с ACL. на внешний интерфейс ставлю in и out > >для out permit ip any any, как правильно написать, синтаксис непойму, чтобы >я мог пользоваться FTP и к моему серваку могли по фтп >подрубаться? >вот что есть >interface GigabitEthernet0/0 > ip address IP_mask > ip nat inside > ! >interface GigabitEthernet0/1 > ip address IP_mask2 > ip nat outside > ip access-group www in > >ip nat inside source list NAT interface GigabitEthernet0/1 overload >ip nat inside source static IP_сервака interface GigabitEthernet0/1 > >ip access-list extended www > permit tcp any eq 20 any > permit udp any eq 53 any > permit icmp any any > deny ip any any > >правильно синтаксис использую? при таком раскладе работает выход в инет, но доступа >к серваку нет. что нужно правильно писать? пробовал и так permit >tcp any any eq 20, может к нам и есть доступ >но у меня зато нет выхода по FTP. дык FTP еще 21й порт нужен...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "подскажите по ACL"
	Сообщение от nick (??) on 20-Окт-06, 15:14
	да я знаю что и 21 и 20 но по сути , я вот непойму может мои проблемы из-за вот этих строк ip nat inside source list NAT interface GigabitEthernet0/1 overload ip nat inside source static IP_сервака interface GigabitEthernet0/1 может тут нужно иначе ip nat inside source static IP_сервака interface ip_внешнего интерфейса
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "подскажите по ACL"
	Сообщение от ilya (ok) on 20-Окт-06, 15:21
	>да я знаю что и 21 и 20 но по сути , > я вот непойму может мои проблемы из-за >вот этих строк >ip nat inside source list NAT interface GigabitEthernet0/1 overload >ip nat inside source static IP_сервака interface GigabitEthernet0/1 >может тут нужно иначе >ip nat inside source static IP_сервака interface ip_внешнего интерфейса ф поиск (или по форуму или по cisco.com) там все есть если на сервере адреса "серые" то нужна только одна запись - static
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "подскажите по ACL"
Сообщение от angelweb (??) on 20-Окт-06, 15:05
>столкнулся с проблемой с ACL. на внешний интерфейс ставлю in и out > >для out permit ip any any, как правильно написать, синтаксис непойму, чтобы >я мог пользоваться FTP и к моему серваку могли по фтп >подрубаться? >вот что есть >interface GigabitEthernet0/0 > ip address IP_mask > ip nat inside > ! >interface GigabitEthernet0/1 > ip address IP_mask2 > ip nat outside > ip access-group www in > >ip nat inside source list NAT interface GigabitEthernet0/1 overload >ip nat inside source static IP_сервака interface GigabitEthernet0/1 > >ip access-list extended www > permit tcp any eq 20 any > permit udp any eq 53 any > permit icmp any any > deny ip any any > >правильно синтаксис использую? при таком раскладе работает выход в инет, но доступа >к серваку нет. что нужно правильно писать? пробовал и так permit >tcp any any eq 20, может к нам и есть доступ >но у меня зато нет выхода по FTP. В какой моде работает FTP сервер ? Passive ?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "подскажите по ACL"
	Сообщение от nick (??) on 20-Окт-06, 15:15
	>В какой моде работает FTP сервер ? Passive ? честно сказать незнаю! но приотсутсвии ACL все пашет как нужно!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "подскажите по ACL"
	Сообщение от nick (??) on 20-Окт-06, 15:39
	>>В какой моде работает FTP сервер ? Passive ? > >честно сказать незнаю! но приотсутсвии ACL все пашет как нужно! мне нужно разрешить доступ к к серваку из инета только по портам вот в этом вся загвоздка!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "подскажите по ACL"
Сообщение от leveler (ok) on 23-Окт-06, 05:47
>столкнулся с проблемой с ACL. на внешний интерфейс ставлю in и out > >для out permit ip any any, как правильно написать, синтаксис непойму, чтобы >я мог пользоваться FTP и к моему серваку могли по фтп >подрубаться? >вот что есть >interface GigabitEthernet0/0 > ip address IP_mask > ip nat inside > ! >interface GigabitEthernet0/1 > ip address IP_mask2 > ip nat outside > ip access-group www in > >ip nat inside source list NAT interface GigabitEthernet0/1 overload >ip nat inside source static IP_сервака interface GigabitEthernet0/1 > >ip access-list extended www > permit tcp any eq 20 any > permit udp any eq 53 any > permit icmp any any > deny ip any any > >правильно синтаксис использую? при таком раскладе работает выход в инет, но доступа >к серваку нет. что нужно правильно писать? пробовал и так permit >tcp any any eq 20, может к нам и есть доступ >но у меня зато нет выхода по FTP. Попробуйте покопать в сторону "ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable" вот по этой ссылке: http://cisco.com/en/US/tech/tk175/tk15/technologies_configuration_example09186a0080093e51.shtml То есть, просто так за натом тачку мы не увидим. Для того, чтобы её увидить, надо сделать статичискую трансляцию. Собственно, из-за этого за натом в Варкрафт, например, хостить не получается - рутер не знает, кому предназначен входящий TCP пакет, который падает на global inside адрес. А вообще, нат хорошо описан в книжках по CCNA. Если я не прав, скажите где.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]